Найбільший український оператор «Київстар» більш як із 24 млн абонентів оговтується від масштабної грудневої кібератаки. Паралельно Служба безпеки України (СБУ) проводить розслідування, аби встановити, як хакери атакували компанію, та довести причетність росіян. Про деталі слідства Forbes розповів керівник департаменту кібербезпеки СБУ Ілля Вітюк.
⚡️Даруємо 700 грн знижки на річну підписку на сайт Forbes. Діє з промокодом 700 до 28.04 Оформлюйте зараз за цим посиланням
Кібератака на «Київстар» у грудні 2023 року, яку називають найбільшою атакою на телеком-інфтраструктуру у світі, готувалася заздалегідь. Перші спроби проникнути в систему хакери здійснили ще в березні 2023-го, говорить Forbes начальник департаменту кібербезпеки СБУ Ілля Вітюк. Більш чіткі «відбитки пальців» зловмисників датуються травнем.
Хакерам вдалося одномоментно занурити в телеком-блекаут приблизно 24 млн абонентів «Київстару». Не працювали всі послуги компанії. Паралельно з відновленням СБУ та інші держоргани напрацьовували рішення про перерозподіл частот «Київстару» між двома іншими операторами, розповідає Вітюк.
Песимістичного сценарію вдалося уникнути. Після відновлення оператор скасував абонплату на місяць, що обійшлося йому в 3,6 млрд грн.
За яких умов частоти «Київстару» мали перейти до двох інших операторів, як міжнародні компанії допомогли відновити звʼязок та чому був ризик, що відновлення триватиме тижнями?
Інтервʼю з Іллею Вітюком скорочено та відредаговано для ясності.
Як відбулася кібератака на «Київстар»
В інтерв’ю Reuters ви сказали, що хакери перебували в системі «Київстару» з травня, але компанія це заперечувала. Як було насправді?
«Київстар» заявив, що не має інформації про те, що в хакерів був доступ до персональних даних абонентів з травня. В інтервʼю я сказав, що загалом хакери мали доступ до системи. Про це свідчить аналіз даних SIEM, що зберігає логи та технічні дані про аномалії. Перші зафіксовані спроби проникнення в систему датуються березнем. Проте на даному етапі розслідування ми ще не можемо сказати на 100%, що спроба проникнення в березні і призвела до проникнення у травні.
Я тоді розмовляв із Комаровим (президент «Київстару» Олександр Комаров. – Forbes). Він пояснив, що це було не спростування, а не зовсім вдале формулювання в їхньому пресрелізі.
Але перебування з травня не означає, що хакери мали найвищі адміністраторські доступи?
Інфраструктура «Київстару» складається більш ніж з тисячі віртуальних та сотень фізичних серверів. IT-мережа відповідає за систему кадрів, фінанси, пошту тощо. А так звана OT-мережа – за технологічні процеси. Це, умовно, дві різні системи. Щоб потрапити з однієї до іншої, потрібно пройти певні рівні захисту. Також є різні права допуску у користувачів: юзер, адмін, рут (суперадмін). Залежно від цього ви або можете, або не можете робити ті чи інші дії. У таких величезних системах, як «Київстар», хакерам можуть знадобитися місяці, щоб дістатися з однієї точки до іншої.
Ви знайшли помилку чи неточність?
Залиште відгук для редакції. Ми врахуємо ваші зауваження якнайшвидше.
